Macに感染して情報を盗み出すマルウェアが、生物医学の研究所を標的に、何年も前から検出されないまま出回っているのを発見したとして、ウイルス対策製品を手掛ける米Malwarebytesが1月18日のブログで報告した。
それによると、このマルウェアはあるIT管理者が特定のMacで不審なネットワークトラフィックに気付いたことから発見された。詳しく調べたところ、一見極めてシンプルに見える2本のファイルを使って外部の制御サーバと通信していることが判明。このスクリプトには、Macの「screencapture」コマンドとLinuxの「xwd」コマンドを使って画面をキャプチャするコードが含まれていた。
さらに興味深いことに、画面をキャプチャしてWebカメラにアクセスする目的で、OS X以前の時代の古いシステムコールや、1998年以来更新されていないオープンソースライブラリのlibjpegが使われていることも分かったという。
このマルウェアをLinuxマシンでも試したところ、問題なく実行できたといい、Linux専用の亜種も存在している可能性があるとMalwarebytesは推測する。ただし実例は見つかっていないとした。
マルウェアに感染していたMacのうち1台は、2015年1月の日付でLaunch Agentファイルが作成されていたことも分かった。また、2014年10月にリリースされたOS X 10.10(Yosemite)に合わせて変更したことを示すコメントもあり、少なくともYosemiteがリリースされた当時から、このマルウェアが存在していたことがうかがえるという。
これまで発見されなかったのは、標的を生物医学研究所に絞り込んでいたためではないかと同社は述べ、米国や欧州の研究所が外国からのサイバースパイの標的にされたと推測している。
Malwarebytesはこのマルウェアを「OSX.Backdoor.Quimitchin」と命名し、同社の製品で検出できるようにした。一方Appleは「Fruitfly」という名称を付け、今後の感染を防ぐ対策を盛り込んだアップデートをリリースしたという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR